Skip to content

Eurograbber beweist: mTANs gefährden Ihr Bankkonto!

Geschrieben von Carsten Eilers am um 09:12

Eran Kalige von Versafe und Darrell Burkey von Check Point Software Technologies haben eine Fallstudie zu einem groß angelegten Angriff auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of Eurograbber: How 36 Million Euros was Stolen via Malware" (Download als PDF). Mehr als 30.000 Bank-Kunden in Europa wurden insgesamt mehr als 36 Millionen Euro gestohlen.

"Eurograbber"

Der von Versafe und Check Point Software Technologies auf den Namen "Eurograbber" getaufte Angriff begann in Italien und weitete sich in kurzer Zeit auf Deutschland, Spanien und Holland aus. Durchgeführt wurde der Angriff mit einer neuen mobilen Variante des Onlinebanking-Trojaners Zeus. ZITMO bzw. Zeus-In-The-Mobile wurde in dieser Version, die auf das Abfangen von SMS mit mTANs spezialisiert ist, bisher nur in der Euro-Zone entdeckt.

Der Angriff im Detail

Im Grunde berichten Eran Kalige und Darrell Burkey soweit es die Infektionswege betrifft nichts Neues. Nach dem Klick auf einen "bad link" wurde der Onlinebanking-Trojaner auf dem PC installiert. Vermutlich im Rahmen einer Drive-by-Infektion. Eran Kalige und Darrell Burkey haben das nicht weiter ausgeführt, die allgemeine Beschreibung lässt aber eigentlich keine anderen Infektionsweg zu. Zum Einsatz kommen die "üblichen Verdächtigen": Zeus, SpyEye und CarBerp.

Loggt sich der Benutzer danach bei seiner Bank ein, wird der Trojaner aktiv und manipuliert die Onlinebanking-Session des Opfers. Zuerst werden Smartphone-OS und Mobiltelefon-Nummer abgefragt und an den Command&Control-Server der Cyberkriminellen gesendet. Danach werden Anweisungen für die Installation eines angeblichen "Security Upgrades" per SMS an das Opfer geschickt. Bei diesem Upgrade handelt es sich dann um eine Variante von ZITMO, die darauf spezialisiert ist, mTANs abzufangen. An dieser Stelle drängt sich die Frage auf, wieso SpyEye und CarBerp ZITMO verwenden sollten. Das wäre ja fast so, als würde Microsoft iOS als Betriebssystem für seine Smartphones verwenden.

Nachdem PC und Smartphone eines Opfers mit der passenden Trojaner-Variante infiziert wurden (ZITMO läuft sowohl auf Android- als auch auf Blackberry-Geräten), warteten die Cyberkriminellen bzw. deren Schadsoftware darauf, dass sich das Opfer wieder zum Onlinebanking anmeldet. Sofort nach dem Einloggen wurden vom Trojaner dann Beträge zwischen 500 und 250.000 Euro an einen "Money Mule" überwiesen. "Money Mules" sind meist unbedarfte Zeitgenossen, die denken, sie würden als Zahlungsmanager oder was auch immer eines Unternehmens arbeiten, tatsächlich aber auf ihr Konto überwiesenes gestohlenes Geld an die Cyberkriminellen weiterleiten.

Der Trojaner auf dem Smartphone fängt die mTAN für die Transaktion ab, verbirgt sie vor dem Benutzer und leitet sie an den C&C-Server der Cyberkriminellen weiter. Der sendet sie dann an den Trojaner auf dem PC des Opfers, der die Transaktion damit autorisiert. Dabei sorgte er durch eine Manipulation der Webseiten dafür, dass die Transaktion dem Benutzer nicht auffällt.

Als Schutz vor solchen Angriffen empfehlen Eran Kalige und Darrell Burkey (natürlich) Produkte von Check Point (für die Kunden) und Versafe (für die Banken). Dazu gibt es für die Benutzer die üblichen Ratschläge wie regelmäßige Updates zu installieren und sich vor Social Engineering zu hüten. Updates sind in der Tat immer wichtig. Social Engineering lässt sich aber nicht so einfach verhindern, dafür sind die Cyberkriminellen inzwischen zu gut.

36 Millionen Euro Beute? 30.000 Opfer?

Weder für die Schadenssumme noch für die Anzahl der Opfer gibt es (bisher) Bestätigungen, nicht einmal belastbare Quellen. Im November dieses Jahres warnte die Berliner Polizei vor Angriffen auf mTANs. Damals war aber von wenigen Einzelfällen die Rede (wobei ich mich dann frage, wieso man deswegen eine Pressemitteilung raus gibt).

Bei der von Eran Kalige und Darrell Burkey genannten Summe und der Anzahl Opfer sollte man doch eigentlich schon mal was darüber gehört haben, oder? Allein für Deutschland geben Eran Kalige und Darrell Burkey beachtliche Zahlen an: 19% aller Banken sollen betroffen sein, und 6.130 Bankkunden sollen fast 13 Millionen Euro gestohlen worden sein. Und das haben die alle so einfach geschluckt? Ganz ohne Zeter und Mordio zu schreien?

Die Banken haben sicher kein Interesse daran, dass an die große Glocke zu hängen. Zeigt es doch, dass ihre ach so tolle mTAN nicht viel taugt. Und die Opfer? Sollte man nicht zumindest von den 250.000-Euro-Diebstählen etwas hören? Schlägt da niemand Alarm? Ist es allen Opfern peinlich, auf gut gemachtes Social Engineering reingefallen zu sein? Möglich, aber irgend ein Informationsleck gibt es doch eigentlich immer.

Eran Kalige und Darrell Burkey werden sich die Werte ja nicht ausgedacht haben. Evtl. sind das Zahlen aus den Logfiles eines C&C-Servers und der hat mehr gezählt, als wirklich passiert ist. Oder die Zahlen wurden aus welchen Ausgangsdaten auch immer hoch gerechnet. Da kann schnell mal etwas schief gehen. Aber gehen wir erst mal davon aus, dass die Summe und Zahl stimmen, vielleicht gibt es ja demnächst weitere Informationen.

Fest steht: mTANs schützen nicht vor Angriffen!

Wie viele Opfer es nun genau gibt und wie viel Geld die Cyberkriminellen gestohlen haben, ist aber eigentlich auch egal. Egal ob es nun 300, 3.000 oder 30.000 Opfer gibt, wichtig ist nur die dadurch bewiesene Tatsache, dass die mTAN durch die Kombination von Trojaner auf dem PC und Trojaner auf dem Smartphone ausgehebelt wird und keinen generellen Schutz mehr bietet. Jedenfalls nicht, wenn sie mit einem Smartphone empfangen wird. Und das gilt prinzipiell auch für iPhones, auch wenn es bisher keine ZITMO-Version für iOS gibt. Was nicht ist, kann ja noch werden.

Habe ich es nicht gesagt?

Eigentlich sagt bzw. schreibt man sowas ja nicht, aber diesmal kann ich einfach nicht anders: "Habe ich es nicht geschrieben?"

Im Februar 2011 kommentierte ich die Bemühungen der Banken, iTAN durch smsTAN/mTAN und chipTAN zu ersetzen: "Onlinebanking - Mit Beelzebub gegen den Teufel". Bereits damals waren Angriffe auf mTAN-Nutzer bekannt. Im Juli 2011 wurde eine mobile Variante des Onlinebanking-Trojaners Zeus entdeckt, die Android-Geräte infizieren kann. Angriffe auf mTANs (oder smsTAN oder wie auch immer man sie nennen und/oder schreiben möchte) waren also schon bekannt, als die Banken ihre Kunden immer massiver zum Wechsel zur mTAN drängten. Am 22. August 2011 kommentierte ich das unter dem Titel "Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN", ein weiterer Kommentar vom 19. September 2011 trug den Titel "Die smsTAN ist tot, der SMS-Dieb schon da!"

Den Anfang des Texts aus dem September 2011:

"Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Smartphone-Trojaner zum Abfangen der smsTAN/mTAN unterschieben lassen? Nicht? Auch niemand von den Banken? Aha. Und warum wird dann die smsTAN/mTAN so energisch beworben?"

Meine Sicherheitstipps

Eigentlich kann der aktuelle Rat nur lauten: Finger weg von mTANs! Das von "Eurograbber" genutzte Social Engineering ist nur eine Möglichkeit, den Onlinebanking-Trojaner auf ein Smartphone zu bekommen, wenn auch die nahe liegendste. Genau so gut könnte er als Drive-by-Infektion beim Besuch einer kompromittierten Website installiert werden, in einer präparierten Smartphone-App enthalten sein, usw. usf..

Wenn Sie unbedingt mTAN verwenden wollen, dann nutzen Sie dafür ein altes, einfaches Handy. Das muss ja nur SMS empfangen und anzeigen können, und das kann jedes Handy. Smart muss es dazu ganz bestimmt nicht sein, und auch einen Internetzugang braucht es nicht. So ein einfaches, "dummes" Handy hat den großen Vorteil, dass sich darauf kein Trojaner einnisten kann. Der Nachteil dabei: Sie benötigen für dieses Handy einen Mobilfunkvertrag, und der verursacht immer Kosten.

Günstiger kommen sie wahrscheinlich mit der chipTAN weg, selbst wenn sie den "TAN-Generator" (der ja eigentlich nur Stromversorgung, Display und Tastatur für den Krypto-Chip auf der Bank-Karte bereit stellt und selbst gar keine TAN generiert) kaufen müssen. Und die chipTAN ist sicher, so lange keine Sammelüberweisungen verwendet werden. Vor allem lässt sich darauf kein Trojaner installieren.

Zwar gibt es bereits erste Social-Engineering-Angriffe, auch mit chipTAN muss man also aufpassen. Andererseits klappt der dabei verwendete Trick "Wir müssen den TAN-Generator überprüfen" sicher genau so gut bei einer mTAN an ein Einfachst-Handy, da heisst es dann eben "Wir müssen die mTAN-Generierung prüfen" oder so ähnlich. Rein technisch betrachtet ist die chipTAN auf jeden Fall die deutlich sicherere Lösung.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2013 - Die Zukunft hat schon begonnen!

Vorschau anzeigen
Traditionell werden zum Jahresende Prognosen für das Folgejahr veröffentlicht. Das ist im Bereich der IT-Sicherheit eigentlich ganz einfach, man muss nur den Grundsatz von Bernd dem Brot abwandeln: "Alles wird wie immer, nur schlimmer"

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung per SMS

Vorschau anzeigen
Nach der allgemeinen Beschreibung der Zwei-Faktor-Authentifizierung geht es nun um bekannte Implementierungen und Angriffe darauf. Ein praktisches Beispiel, wie man eine Zwei-Faktor-Authentifizierung nicht implementieren sollte, hat ja Twitter

Dipl.-Inform. Carsten Eilers am : Carberp-Sourcecode und bösartige Opera-Updates veröffentlicht

Vorschau anzeigen
Der Sourcecode des Onlinebanking-Trojaners Carberp wurde veröffentlicht, und Opera verbreitete kurze Zeit Schadsoftware über die Auto-Update-Funktion. Beides muss ich natürlich unbedingt kommentieren! Carberp-Sourcecode ver&oum